tcpdump-Syntaxfehler beim Angeben des Portbereichs wie dokumentiert

Question 1

portrangeist im PCAP-Filter von OpenBSD nicht vorhanden, aber Sie können es vortäuschen.

tcpdump -i em0 tcp[2:2] > 79 and tcp[2:2] < 85

Sie können Teile der Pakete adressieren und mit ihnen vergleichen. Die erste Zahl ist der Offset im Paket (beginnend bei Null) und die zweite Zahl gibt an, wie viele Bytes verwendet werden sollen. Das obige Beispiel passt also zu jedem TCP-Paket mit einem Zielport von 80 bis 84. Sie können auch <= und >= verwenden, um die Dinge intuitiver zu gestalten.

Der Abgleich mit dem Quellport wäre tcp[0:2]. Bei UDP wäre es eigentlich dasselbe, da die Ports die gleichen Offsets haben.

Answer

portrangeist im PCAP-Filter von OpenBSD nicht vorhanden, aber Sie können es vortäuschen.

tcpdump -i em0 tcp[2:2] > 79 and tcp[2:2] < 85

Sie können Teile der Pakete adressieren und mit ihnen vergleichen. Die erste Zahl ist der Offset im Paket (beginnend bei Null) und die zweite Zahl gibt an, wie viele Bytes verwendet werden sollen. Das obige Beispiel passt also zu jedem TCP-Paket mit einem Zielport von 80 bis 84. Sie können auch <= und >= verwenden, um die Dinge intuitiver zu gestalten.

Der Abgleich mit dem Quellport wäre tcp[0:2]. Bei UDP wäre es eigentlich dasselbe, da die Ports die gleichen Offsets haben.

Question 2

Die Anzeigefilter werden von libpcap verwaltet, und OpenBSD hat sein eigenes libpcap und tcpdump, die nicht unbedingt Änderungen von libpcap und tcpdump von tcpdump.org übernehmen.

Wenn portrangees nicht funktioniert, ist die Unterstützung dafür wahrscheinlich eines der Dinge, die OpenBSD nicht verstanden hat.

Answer

Die Anzeigefilter werden von libpcap verwaltet, und OpenBSD hat sein eigenes libpcap und tcpdump, die nicht unbedingt Änderungen von libpcap und tcpdump von tcpdump.org übernehmen.

Wenn portrangees nicht funktioniert, ist die Unterstützung dafür wahrscheinlich eines der Dinge, die OpenBSD nicht verstanden hat.

Question 3

Sie sollten man pcap-filternicht verwendenman tcpdump

Entsprechend man pcap-filter:

dst portrange port1-port2
              True  if  the packet is ip/tcp, ip/udp, ip6/tcp or ip6/udp and has a destination port value between port1 and port2.  port1 and port2 are interpreted
              in the same fashion as the port parameter for port.


   src portrange port1-port2
          True if the packet has a source port value between port1 and port2.

   portrange port1-port2
          True if either the source or destination port of the packet is between port1 and port2.

          Any of the above port or port range expressions can be prepended with the keywords, tcp or udp, as in:
               tcp src port port
          which matches only tcp packets whose source port is port.

Answer

Sie sollten man pcap-filternicht verwendenman tcpdump

Entsprechend man pcap-filter:

dst portrange port1-port2
              True  if  the packet is ip/tcp, ip/udp, ip6/tcp or ip6/udp and has a destination port value between port1 and port2.  port1 and port2 are interpreted
              in the same fashion as the port parameter for port.


   src portrange port1-port2
          True if the packet has a source port value between port1 and port2.

   portrange port1-port2
          True if either the source or destination port of the packet is between port1 and port2.

          Any of the above port or port range expressions can be prepended with the keywords, tcp or udp, as in:
               tcp src port port
          which matches only tcp packets whose source port is port.

tcpdump-Syntaxfehler beim Angeben des Portbereichs wie dokumentiert

Antwort1

Antwort2

Antwort3

verwandte Informationen